重要インフラのサイバーセキュリティについて、Hack the Portに学ぶ4つのポイント

サイバーセキュリティに携わる専門家やプロフェッショナルが集う会合、Hack the Portが先日フロリダ州フォート・ローダデールで開催されました。議題は港湾という国家の重要インフラにおける主要なセクターを標的に進化を続ける脅威と、対策強化の方法です。このイベントが開催されたのは、世界がロシアによるウクライナへの軍事侵攻を注視する中、戦闘地域外でサイバー攻撃が発生する可能性があるとして、バイデン政権から重要なインフラの所有者や運営者にデジタルセキュリティ対策の強化を求める新たな警告が発表されたタイミングでした。

Hack the Portの議論から、公的セクターか民間かを問わず、すべての重要インフラの所有者と運営者がデジタルセキュリティを強化するために気を付けるべきポイントが明らかになりました。さっそくその概要をご紹介します。

資本を持たないハッカーが引き起こす大規模な損害

攻撃にかかる費用は、劇的に減少しています。私たちは、ほとんど資金力のない敵が重要なインフラを標的に定め、侵害1件あたり平均424百万米ドル程度の大規模な損害を与える状況を目にしています。たとえば米国最大の燃料パイプラインを停止させ、東海岸で燃料不足を追い込んだあるハッキングインシデントの原因は、ダークWebに流出したわずか1件のパスワードでした。ハッカーたちはこれを悪用し、多要素認証を回避してこの企業のVPNにアクセスしていました。感染症拡大のあおりを受けた脆弱なサプライチェーンや、大型貨物船の座礁インシデントに便乗するハッカーたちは今、変容した世界のダイナミズムの隙を突いて攻勢をかけています。

私たちが例外なく、全てのサイバーインシデントから学べることは、“データはハッカーの新たな武器である”という事実です。サイバー防御の担当者が攻撃を防御、あるいは軽減するためには、可能な限り多くのデータを収集して分析し、措置を講じ、また脅威インテリジェンスを共有する必要があります。Elasticが提供するLimitless XDRには、セキュリティ情報およびイベント管理（SIEM）とエンドポイント＆クラウドセキュリティが一元化されています。Elasticの無料かつオープンなプラットフォームを使うと、防御担当者は簡単に検知ルールやエンドポイントコード、数百万のユーザーが公開するその他の保護アーティファクトを活用することが可能です。このようなアーティファクトは、スモールビジネスから軍事組織までの幅広いユーザーにとって実践的かつリーズナブルなリソースとなります。まだElasticを導入していない組織では、クラウドでLimitless XDRを立ち上げることにより、わずか数分のうちに、また一切のハードウェア要件を気にすることなくこのメリットを活用することができます。

接続があってもなくても、保護しなければならない

港湾と海運の制御システムは他の重要インフラと同様に、ITだけでなくレガシーの運用テクノロジー（OT）ネットワークと、“モノのインターネット”（IoT）デバイスに依存しています。一方で、このOTに高い専門性を持つ職員の数は非常に乏しいのが現状です。2020年の1年間だけで、重要なインフラOTを標的とする500件のメジャーインシデントが生じており、これは懸念すべき事態です。さらに、多くの港湾制御システムは非接続、間欠的、制限的（Disconnected, Intermittent, Limited、DIL）環境で実行されており、海上に出た後は接続がありません。このようなDILシステムの接続に地球低軌道を周回する人工衛星を活用する方法もありますが、サイバーフットプリントをより複雑化させることになります。

接続されているか否かにかかわらず、重要なインフラの保護に際しては、その性質を理解することが大切です。Hack the Portのようなイベントの開催は、これまでその業界内だけで議論されていた問題がより広範なオーディエンスに向けて発信するきっかけとなるという点で大きな意味があります。また、重要なインフラの課題解決に軍事関連ソリューションが役立つ可能性を検討するなど、テクノロジーの転用について議論する機会にもなります。たとえば非接続のエンドポイントでマルウェアシグネチャベースのアプローチを実行している場合、従来の手法では古いシグネチャしか利用できず、高いリスクにさらされてしまいます。そのようなアプローチに代えて、Elasticの機械学習モデルをDILのエンドポイントでローカルに実行すれば、エンドポイントを適切に保護することが可能になります。さらに設定可能なキューと設計レベルで分散化されたアーキテクチャーを使用すれば、ネットワーク通信がダウンしてもエッジにデータとテレメトリをキューイングできます。通信が復旧すると、エンドポイントからクラスターにデータがシームレスにプッシュされるため、通信障害によるデータロスを確実に回避することが可能です。

サイバーセキュリティコンプライアンスは張りぼてではない

Hack the Portに登壇した米国土安全保障省のサイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）長官、ジェン・イースタリー氏は、発言の中で港湾は米国の重要インフラにおいて“ソフトスポット”であり、港湾を経由する輸出入額は年間5.4兆ドル、米国の国内総生産の4分の1に上ることから、セキュリティを軽視することはできないと指摘しています。CISAは重要なインフラの所有者や運営者に豊富な脅威インテリジェンス、トレーニング、リソースを提供しており、「国家のサイバーセキュリティの向上に関する大統領令」の牽引役でもあります。この大統領行政命令は、民間セクターと連携する連邦政府の非軍事機関がより安全なサイバー空間の発展のために満たすべきいくつかの基準と要件の概要を定めています。

この基準と要件は、インフラの所有者や運営者が義務の対象となるか否かを問わず、重要なインフラのサイバーセキュリティについて強固な基盤を提示するものです。Elasticは、そのような所有者や運営者がこれらの基準や要件を前提としなくとも、さまざまな仕組みや計画を着実に進展させていることを十分に理解しています。単体のプラットフォームでデジタルセキュリティの即時的な強化に取り組むことができる有効な領域を説明するのも、そのサポートのためです。Elasticはイベントログ管理やEDR（エンドポイント検知と対応）、ゼロトラストの導入によるクラウドの安全制の維持に関連して組織がコンプライアンス要件に準拠し、要件以上の水準を達成できるよう支援しています。詳細については、業界別パンフレットをご覧ください。

多様な人材採用とサイバーチームのニーズ確認

(ISC)²の調査から、2020年以降、サイバーセキュリティ分野には世界で新たに70万人の人材が流入し、この領域の人材不足の解消が進んでいることが明らかになりました。この調査は同時に、組織の重要な資産を効果的に防御するためには、サイバーセキュリティチームの規模を65％拡大する必要があると指摘しています。特に重要なインフラの所有者と運営者は、サイバーセキュリティチームのニーズの確認を継続的に実施する必要があります。米国人事管理局などの組織が公表しているリソース類は、サイバーセキュリティの関係者が決定的なニーズのある職務を明確化し、チームに不可欠なスキルの不足状況をピンポイントで把握するために役立ちます。

また重要なインフラの所有者と運営者は、次世代のサイバー防御担当者の育成に投資し、未来のサイバー脅威に対応する必要があります。Hack the Portの主催団体でもあるMISIはこの点を深く理解し、現実世界のサイバーシナリオで多様な人材による同時弾着射撃を実行するためにElasticセキュリティを導入しています。またElasticは、サイバーセキュリティ人材の採用におけるダイバーシティに関して点と点を結ぶ活動にコミットしており、強力なトレーニングプログラムの提供に加えて、CTF（Capture The Flag）形式のセキュリティイベントも定期的に主催しています。各種プログラムへの参加によって習得したサイバースキルは新たな課題に再利用でき、無料かつオープンなソフトウェアの真のメリットとなっています。

Hack the Portの議題に対応する

Hack the Portのイベントレポートをお届けすると同時に、Elasticはこの会合が提示したサイバーセキュリティの議題を港湾および他の重要なインフラ所有者と運営者に適用する万全の態勢を整えています。本記事を読んでご興味をお持ちいただけましたら、ぜひElasticのLimitless XDRデモをご覧ください。導入に関するご相談もお待ちしております。federal@elastic.coへお問い合わせください。こちらから、FedRAMPのクラウドトライアルをお試しいただくこともできます。

関連のブログ記事

• Forrester、ElasticをEndpoint Detection and Response Waveの「Strong Performer」に指名
• A single platform for US Government security and logging compliance（米国政府セキュリティとロギングコンプライアンスのための単体のプラットフォーム）